Was ist eine Multi-Faktor-Authentifizierung (MFA)?
Um dem Risiko von Cyberangriffen entschieden entgegenzuwirken und den Schutz von Daten und Geräten zu intensivieren, führt die Universität zu Köln die Multi-Faktor-Authentifizierung (MFA) für den Login von IT-Diensten ein. Dabei handelt es sich um einen oder mehrere unabhängige Faktoren, welche bei einem Login mit Personal-, Studierenden- oder Gast-Account zusätzlich zu Benutzernamen und Passwort verwendet werden müssen. Hierdurch wird der Schutz vor unbefugtem Zugriff auf Dienste, Software und Daten erhöht.
Was ist Cisco Duo?
Die Mehrfaktorauthentifizierung (MFA) wird an der Universität zu Köln mit Cisco Duo umgesetzt.
Cisco Duo ist ein System, welches mehrere Authentifizierungsmöglichkeiten als sogenannten Zweiten Faktor umfasst.
Welche Möglichkeiten der Authentifizierung bietet Cisco Duo?
Cisco Duo bietet verschiedene Möglichkeiten an, einen zweiten Faktor zu nutzen:
Duo Mobile-App
FIDO2-Key: In bestimmten webbasierten Anmeldungen kann auch ein FIDO2-Key (z.B. YubiKey, Titan Security Key oder vergleichbare) als zweiter Faktor genutzt werden. Da dieses Verfahren nur in webbasierten Anmeldungen zur Verfügung steht, kann ein FIDO2-Key erst nachträglich über die Geräteverwaltung hinzugefügt werden. Bitte beachten Sie, dass wir das Hinzufügen sowie die Verwendung eines FIDO2-Keys aufgrund der unterschiedlichen verfügabren Keys nicht supporten können! Eine grundlegende Anleitung zum Hinzufügen eines FIDO2-Keys (Link to come) steht Ihnen hier zur Verfügung.
Sollten Sie keine App oder FIDO2-Key verwenden wollen oder können, melden Sie sich bitte am RRZK-Helpdesk.
Kann ich auch eine andere Authentifizierungs-App nutzen (z.B. Google Authenticator)?
Nein, Cisco Duo unterstützt nicht die Verwendung anderer Authentifizierungs-Apps. Cisco Duo unterstützt nur die Duo Mobile-App. Duo Mobile kann zwar andere Passcode-generierende Apps für Drittanbieterkonten ersetzen, aber andere Apps können Duo Mobile nicht ersetzen.
Welche Dienste werden mit Cisco Duo abgesichert?
Folgende Dienste sind aktuell mit Cisco Duo abgesichert:
Aktuell können bzw. müssen nur bestimmte Personengruppen an der UzK Cisco Duo nutzen. Sie werden rechtzeitig darüber informiert werden, ab wann Sie Cisco Duo nutzen können bzw. müssen. Ob Sie zu einer solchen Personengruppe dazugehören, können Sie daran feststellen, ob beim Login vom VPN-Dienst eine Cisco Duo-Abfrage erscheint.
Bitte beachten Sie! Sofern Ihre Personengruppe für eine optionale Nutzung von Cisco Duo freigeschaltet ist, gilt: Sobald Sie sich bei Cisco Duo registriert haben, ist die Nutzung aller daran angeschlossener Dienste (bspw. VPN) nur noch mit Cisco Duo möglich. Eine Rückkehr zur Nutzung ohne Cisco Duo ist nicht vorgesehen.
Zweiter Faktor / Geräte
Was ist mein Zweiter Faktor?
Als "Zweiter Faktor" werden alle Authentifizierungsmöglichkeiten (Geräte) bezeichnet, die Sie in Cisco Duo hinterlegt haben. Sie können diese im Self-Service-Portal einsehen, neue hinzufügen oder entfernen.
Wie füge ich einen weiteren Zweiten Faktor/ein weiteres Gerät hinzu?
Wie Sie eine weitere Authentifizierungsmöglichkeit als zweiten Faktor hinzufügen, haben wir in dieser Anleitung beschrieben:
Ich kann die Geräteverwaltung nicht öffnen, sondern sehe die Login-Seite.
Nachdem Sie sich im Self-Service-Portal mit Benutzername und Passwort angemeldet haben, authentifizieren Sie sich bitte zunächst nicht über einen zweiten Faktor, sondern wählen "Geräte verwalten" aus und authententifizieren sich erst im nächsten Schritt. Eine Schritt-für-Schritt-Anleitung finden Sie hier:
Ihre Telefonnummer wird nicht benötigt und muss daher auch nicht hinterlegt werden. Wählen Sie stattdessen "Ich habe ein Tablet" aus. Eine bebilderte Anleitung finden Sie hier:
Ich habe nicht die Möglichkeit Cisco Duo auf dem Campus einzurichten. Wie gehe ich vor?
Die erstmalige Registrierung für Duo ist nur möglich über Geräte, die sich auf dem Campus der UzK befinden (nicht von zu Hause oder unterwegs per VPN).
Sofern Sie sich nicht im Kölner Umland befinden und die Registrierung auf dem Campus vornehmen können, wenden Sie sich bitte an den RRZK-Helpdesk.
App Duo Mobile
Welches sind die Systemvoraussetzungen für Duo Mobile?
Für die Verwendung der App Duo Mobile auf einem Mobilgerät (typischerweise ein Smartphone oder Tablet) als zweiten Faktor muss das Mobilgerät eine der folgenden Anforderungen erfüllen:
Android 11 oder höher
iOS 15.0 oder höher
iPadOS 15.0 oder höher
watchOS 4.0 oder höher
Auf dem verwendeten Mobilgerät muss zwingend eine Displaysperre (z.B. per PIN, Passwort, Fingerabdruck o.ä.) eingerichtet sein.
Geräte auf denen Root-Zugriff erkannt wurde, können nicht zum Genehmigen Ihrer Anmeldungen eingesetzt werden.
Ich habe KEIN kompatibles mobiles Endgerät für die App Duo Mobile? Was soll ich tun?
Die Duo Mobile App erhebt einige Daten, die für den sicheren Betrieb erforderlich sind. Die folgenden Daten sind für Mitarbeitende des ITCC einsehbar und werden von diesen ausschließlich für die Bearbeitung von Supportanfragen oder für Einschätzungen der individuellen Accountsicherheit eingesehen. Eine Weitergabe an andere Stellen der Universität findet ausdrücklich nicht statt.
Zu den erhobenen Daten, die die App übermittelt zählen:
Smartphone Modell
Eingesetzte Android oder iOS Version
Zeitpunkt der letzten Verbindung der App zum Server
Daten zur Sicherheit des Smartphones
Integrität des Systems/“root-Zugriff” (Geräte, die z.B. die Play Integrity Prüfung nicht bestehen, werden abgelehnt)
Verschlüsselungsstatus (Sind die Daten des Smartphones verschlüsselt?)
Status der PIN-Sperre (Ist das Gerät grundsätzlich per PIN/Password/Muster o.ä. geschützt oder für jeden zugänglich? Geräte ohne konfigurierte Sperre werden aus Sicherheitsgründen abgelehnt)
Status über Schutz per Biometrie (Sind auf dem Gerät Schutzfunktionen per Fingerabdruck/Gesichtserkennung aktiviert?)
Wenn Sie eine Ihrer Anmeldungen über die Duo Mobile genehmigen, wird die IP-Adresse des Smartphones zum Zeitpunkt der Genehmigung erfasst
Durch die IP-Adresse können Rückschlüsse auf Ihren verwendeten Internet Service Provider (also Mobilfunkanbieter oder Anbieter des Internetanschlusses) möglich sein
Wenn Sie Rückfragen hierzu haben, zögern Sie nicht uns anzusprechen.
Darf ich mein privates Smartphone nutzen, wenn ich kein dienstliches Smartphone besitze?
Für den Einsatz der Duo Mobile App können Sie Ihr privates Smartphone nutzen.
Diverses
Was bedeutet "Geräteinformationen speichern" im Cisco Duo-Dialogfenster
Aktivieren Sie diese Option, müssen Sie bei einer erneuten Anmeldung an einem per Cisco Duo abgesicherten Dienst für 9 Stunden keinen Zweiten Faktor verwenden. Es genügt die Anmeldung bei Shibboleth per Benutzername und Passwort.
Achtung: Dies gilt nur für den jeweiligen Computer (Browser), auf dem Sie sich per Zweitem Faktor authentifiziert haben.
Welche Authentifizierungsarten gibt es in Duo Mobile?
Je nach Einsatzzweck gibt zwei unterschiedliche Authentifizierungsarten:
"Duo Push": Die Duo Mobile-App zeigt auf dem eingerichteten mobilen Endgerät eine Push-Benachrichtigung an, über welche Sie mit einem Klick auf "Genehmigen" Ihre Identität bestätigen.
"Duo Mobile-Passcode": Cisco Duo zeigt Ihnen einen temporären Passcode an, welchen Sie in der App eingeben
Die angezeigte Nummer auf dem Hardware-Token funktioniert nicht.
Falls die am Token angezeigte Nummer auch nach mehrmaligen Eingabeversuchen nicht von Cisco Duo akzeptiert wird, melden Sie sich beim RRZK-Helpdesk. Es kann vorkommen, dass der Hardwaretoken bspw. durch versehentliches Betätigen des Knopfes nicht mehr synchron zu Cisco Duo ist.